Zur Startseite gehen
0,00 €
Kundenservice

Kundenservice

Telefon: 0228 - 724 6002
Mo. bis Do. von 8:00 bis 16:00 Uhr
Fr. von 08:00 bis 13:00 Uhr

E-Mail: kundenservice@stollfuss.de

Kategorien
Menschen in einem dunklen Raum mit bunter Lichtstimmung, Fokus auf dem Hinterkopf einer Person im Vordergrund

< Zurück

Anm. zu EuGH: Verweigerung des Auskunftsanspruchs der DSGVO – wann ist die Schwelle zum Rechtsmissbrauch erreicht?

Datenschutzgrundverordnung

Das Auskunftsrecht nach Art. 15 der Datenschutzgrundverordnung (DSGVO) ist ein zentrales Instrument, um Transparenz über die Verarbeitung personenbezogener Daten herzustellen und die Rechtmäßigkeit dieser Verarbeitung zu überprüfen. Zugleich eröffnet Art. 12 Abs. 5 DSGVO dem Verantwortlichen die Möglichkeit, offenkundig unbegründete oder exzessive Anträge zurückzuweisen. Der EuGH konkretisiert mit einem aktuellen Urteil vom 19.3.2026 (C-526/24) die Schwelle zum Rechtsmissbrauch und stellt klar, dass auch ein erstmaliger Auskunftsantrag „exzessiv“ sein kann, wenn er allein der künstlichen Grundlage für sodann geltend gemachten Schadensersatzforderungen dient (Entscheidungszusammenfassung mit Praxishinweisen der Kanzlei Friedrich Graf von Westphalen & Partner mbB).

Sachverhalt:

Ein österreichischer Bürger abonnierte den Newsletter eines deutschen Optikunternehmens und gab dabei verschiedene personenbezogene Daten an. Bereits 13 Tage später stellte er einen Auskunftsantrag nach Art. 15 DSGVO, um Informationen über die Verarbeitung seiner Daten zu erhalten. Nach dieser Regelung hat eine betroffene Person i.S.d. Verordnung das Recht, von dem Verantwortlichen im Sinne dieser Verordnung eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht auf Auskunft über diese Daten und die damit verbundenen Informationen.

Das Unternehmen verweigerte die Auskunft unter Verweis auf Rechtsmissbrauch, da Recherchen ergaben, dass der Betroffene sich systematisch zu Newslettern anmelde, anschließend Auskunft verlange und danach Schadensersatzforderungen erhebe. Daraufhin verlangte der Betroffene eine Entschädigung von mindestens 1.000 Euro für einen immateriellen Schaden wegen Nichterfüllung seines Auskunftsanspruchs. Das Amtsgericht Arnsberg, das mit dem Rechtsstreit zwischen dem Optikunternehmen und dem Antragsteller befasst war, legte dem EuGH sodann Fragen dazu vor, ob ein erster Auskunftsantrag bereits als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO gewertet werden kann, unter welchen Umständen ein Rechtsmissbrauch vorliegt und ob bei Verletzung des Auskunftsrechts ein Schadensersatzanspruch nach Art. 82 DSGVO besteht.

Entscheidungsgründe:

In seinem Urteil vom 19.3.2026 beantwortete der EuGH die ihm gestellten Fragen und stellte klar, dass unter bestimmten Umständen bereits ein erster Auskunftsantrag „exzessiv“ i.S.d. DSGVO sein kann. Der EuGH stellt klar, die Einstufung eines ersten Auskunftsantrages als „exzessiv“ könne dann erfolgen, wenn der Verantwortliche nachweist, dass der Antrag nicht dem Zweck dient, sich über die Datenverarbeitung zu informieren und deren Rechtmäßigkeit zu prüfen, sondern in missbräuchlicher Absicht gestellt wird, etwa um künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen. Maßgeblich sei eine qualitative Gesamtwürdigung aller Umstände. Der EuGH konkretisiert: Öffentlich zugängliche Informationen, wonach der Betroffene in einer Vielzahl von Fällen nach demselben Muster Auskunftsanträge und nachfolgende Schadensersatzforderungen erhebt, dürfen dabei als Indizien für eine missbräuchliche Absicht herangezogen werden, müssen aber durch weitere Faktoren bestätigt werden. Zugleich bejaht der EuGH, dass Art. 82 Abs. 1 DSGVO der betroffenen Person einen Anspruch auf Ersatz eines Schadens verleiht, der aus der Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO resultiert. Der Schadensersatzanspruch setze jedoch voraus, dass neben dem Verstoß ein materieller oder immaterieller Schaden tatsächlich entstanden und ein Kausalzusammenhang zwischen Verstoß und Schaden gegeben ist. Ein bloßer Verstoß gegen die DSGVO reiche nicht aus. Als immaterieller Schaden könne insbesondere der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit über deren Verarbeitung in Betracht kommen, sofern diese Beeinträchtigung konkret dargelegt wird und das Verhalten des Betroffenen nicht selbst die entscheidende Ursache des Schadens ist.

Praxishinweis:

Für Unternehmen bedeutet das Urteil, dass der Auskunftsanspruch nach Art. 15 DSGVO weiterhin einen hohen Stellenwert besitzt, aber Unternehmen in einem gewissen Maß auch vor der rechtsmissbräuchlichen Inanspruchnahme geschützt sind – auch bei ersten Auskunftsanträgen. Verantwortliche sollten Auskunftsanträge sorgfältig dokumentieren und prüfen, ob objektive Anhaltspunkte für eine missbräuchliche Absicht vorliegen, etwa eine bekannte „Serienpraxis“ des Antragstellers, und diese Indizien im Zweifel belegen können. Gleichwohl bleibt der Missbrauchseinwand eine enge Ausnahme: Nur in klar gelagerten Fällen, in denen das Auskunftsersuchen ersichtlich allein zur Generierung von Schadensersatzansprüchen genutzt wird, kommt eine Zurückweisung in Betracht. Betroffene Personen sollten beachten, dass sie zwar grundsätzlich auch bei Verletzung des Auskunftsrechts Schadensersatz nach Art. 82 DSGVO verlangen können, hierfür aber eine konkrete Beeinträchtigung – insbesondere einen nachvollziehbaren Kontrollverlust oder eine belastende Ungewissheit – darlegen und den Kausalzusammenhang zum Verstoß aufzeigen müssen. Das Urteil stärkt damit einerseits den Schutz vor missbräuchlichen „Geschäftsmodellen“ mit DSGVO-Auskunftsansprüchen, hält andererseits aber klar fest, dass Art. 15 DSGVO kein bloß formales Recht ist, sondern bei rechtswidriger Verweigerung effektiv über Art. 82 DSGVO flankiert wird.

Autoren: Rechtsanwalt Dr. Christoph Fingerle und Elsa Rein, Friedrich Graf von Westphalen & Partner mbB, Freiburg

Quelle: EuGH, Urteil vom 19.3.2026 (C-526/24)